La Agencia de Seguridad de Ciberseguridad e Infraestructura de Estados Unidos (CISA, por sus siglas en inglés) agregó el martes tres fallas de seguridad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), basadas en evidencia de explotación activa.
La lista de deficiencias es la siguiente:
- CVE-2022-47986 (puntuación CVSS: 9,8) – IBM Aspera Faspex Code Execution Vulnerability
- CVE-2022-41223 (puntuación CVSS: 6,8): Mitel MiVoice Connect Code Injection Vulnerability
- CVE-2022-40765 (puntuación CVSS: 6,8): Mitel MiVoice Connect Command Injection Vulnerability
CVE-2022-47986 se describe como un error de deserialización YAML en la solución de transferencia de archivos que podría permitir a un atacante remoto ejecutar código en el sistema.
Los detalles de la falla y una prueba de concepto (PoC) fueron compartidos por Assetnote el 2 de febrero, un día después del cual la Fundación Shadowserver dijo que “recogió intentos de explotación” en la naturaleza.
La explotación activa de la falla Aspera Faspex se produce poco después de que una vulnerabilidad en el software de transferencia de archivos administrado por MFT GoAnywhere de Fortra (CVE-2023-0669) fuera abusada por actores de amenazas con posibles vínculos con la operación de ransomware Clop.
CISA también agregó dos fallas que afectan a Mitel MiVoice Connect (CVE-2022-41223 y CVE-2022-40765) que podrían permitir que un atacante autenticado con acceso a la red interna ejecute código arbitrario.
Los detalles exactos que rodean la naturaleza de los ataques no están claros, pero otra falla en MiVoice Connect fue explotada el año pasado para implementar ransomware. Las vulnerabilidades fueron parcheadas por Mitel en octubre de 2022.
A la luz de la explotación en la naturaleza, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las actualizaciones necesarias antes del 14 de marzo de 2023 para proteger las redes contra posibles amenazas.
CISA, en un desarrollo relacionado, también publicó un aviso de sistemas de control industrial (ICS) que aborda fallas críticas (CVE-2022-26377 y CVE-2022-31813) en el portal de aplicaciones MELSOFT iQ de Mitsubishi Electric.
“La explotación exitosa de estas vulnerabilidades podría permitir a un atacante malicioso realizar impactos no identificados, como la omisión de autenticación, la divulgación de información, la denegación de servicio o la autenticación de la dirección IP”, dijo la agencia.
